计算机网络安全技术林涛第8章网络攻击与防护.pptVIP

第8章 网络攻击与防护 8.1 黑客及攻击 1．黑客概述 在各种媒体上有许多关于Hacker这个名词的定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了Internet，创造出现在使用的UNIX操作系统，使Usenet运作起来，并且让World Wide Web传播开来，这就是最早的Hacker。 也存在另外一个团体，其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统，真正的Hacker称他们为入侵者（Cracker），并且不愿意和他们在一起做任何事。Hacker们认为这些人懒惰，不负责任，并且不够光明正大。他们认为，能破解安全系统并不能使你成为一位Hacker。基本上，Hacker和Cracker之间最主要的不同是，Hacker创造新东西，Cracker破坏东西。 现在，人们所说的黑客是指Cracker。 2．黑客常用的攻击方法 （1）获取口令 （2）放置特洛伊木马程序 （3）WWW的欺骗技术 （4）电子邮件攻击 （5）通过一个节点来攻击其他节点 （6）网络监听 （7）寻找系统漏洞 （8）利用账号进行攻击 （9）偷取特权 8.2 IP欺骗 8.2.1 IP欺骗原理 1．信任关系 2．Rlogin 3．TCP序列号预测 4．序列编号、确认和其他标志信息 5．IP欺骗 8.2.2 IP欺骗的防止 1．抛弃基于地址的信任策略 2．进行包过滤 3．使用加密方法 4．使用随机化的初始序列号 8.3 拒绝服务攻击 8.3.1 概述 8.3.2 拒绝服务攻击的原理 1．拒绝服务的模式 2．拒绝服务常用方法 8.4 侦察与工具8.4.1 安全扫描 安全扫描以各种各样的方式进行。可以利用Ping和端口扫描程序来侦查网络，也可以使用客户端/服务器程序，如Telnet和SNMP等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具很简单，便于安装和使用。有时，审计人员和黑客会利用程序语言如Perl, C,C++和Java自己编制一些工具，因为他们找不到现成的针对某种漏洞的工具。 另外一些工具功能更全面，但是在使用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前，应当先接触一些当前黑客常常使用的技巧。 1．Whois命令 Whois（类似于finger）是一种Internet的目录服务，whois提供了在Internet上一台主机或某个域的所有者的信息，如管理员的姓名、通信地址、电话号码和E-mail地址等信息，这些信息是在官方网站whois server上注册的，如保存在InterNIC的数据库内。Whois命令通常是安全审计人员了解网络情况的开始。一旦得到了Whois记录，从查询的结果还可得知primary和secondary域名服务器的信息。 2．nslookup  使用DNS的排错工具nslookup，可以利用从whois查询到的信息侦查更多的网络情况。例如，使用nslookup命令把主机伪装成secondary DNS服务器，如果成功便可以要求从主DNS服务器进行区域传送。要是传送成功的话，将获得大量有用信息，包括： ? 使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况； ? 公司使用的网络和子网情况； ? 主机在网络中的用途，许多公司使用带有描述性的主机名。 使用nslookup实现区域传送的过程有如下几步。 第1步，使用whois命令查询目标网络，例如在Linux提示符下输入whois 。 第2步，得到目标网络的primary和slave DNS服务器的信息。例如，假设主DNS服务器的名字是。 第3步，使用交互查询方式，缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令server 定位目标网络的DNS服务器。 第4步，列出目标网络DNS服务器的内容，如ls 。此时DNS服务器会把数据传送过来。当然，管理员可以禁止DNS服务器进行区域传送，目前很多公司将DNS服务器至于防火墙的保护之下并严格设定了只能向某些主机进行区域传送。 一旦从区域传送中获得了有用信息，便可以对每台主机实施端口扫描以确定它们提供了哪些服务。如果